EndRAT惡意軟體

翻譯為：

據稱由 Konni 威脅組織發起的複雜網路攻擊活動，展現了其精心策劃的長期滲透、資料竊取和橫向傳播策略。這項行動的核心是 EndRAT 惡意軟體，這是一款功能強大的遠端存取木馬，旨在保持持久性並悄無聲息地竊取敏感訊息，同時利用可信任通訊管道擴大其攻擊範圍。

入侵始於一封精心設計的釣魚郵件，郵件偽裝成官方通知，聲稱任命收件者為北韓人權方面的講師。這種社會工程策略旨在利用收件人的信任和好奇心。

一旦收件人開啟附件中的 ZIP 壓縮文件，惡意 Windows 捷徑 (LNK) 文件就會執行。此操作會啟動多階段感染鏈：

這項初步妥協使得 EndRAT 的部署能夠在不立即引起懷疑的情況下進行。

EndRAT（也稱為 EndClient RAT）使用 AutoIt 開發，是這次攻擊的核心。一旦嵌入系統，它就能對受感染的主機進行完全遠端控制。

EndRAT 的主要功能包括：

該惡意軟體可以長時間保持隱藏狀態，從而能夠持續監視和提取內部文件和敏感資料。

進一步的取證分析表明，EndRAT並非獨立部署。其他惡意元件，包括與RftRAT和RemcosRAT關聯的基於AutoIt的腳本，也被引入到受感染的環境中。

這種分層部署策略表明，高價值目標受到冗餘控制機制的保護，即使偵測到或清除某種惡意軟體，也能確保運作的連續性。多種遠端存取木馬（RAT）家族的存在顯著增強了攻擊者維持存取權限和應對防禦措施的能力。

這次攻擊活動的一個顯著特點是濫用安裝在受感染系統上的 KakaoTalk 桌面應用程式。攻擊者利用已認證的使用者會話，將受害者變成不知情的惡意軟體傳播者。

利用被盜用的帳戶，惡意ZIP檔案會被選擇性地發送給受害者網路中的聯絡人。這些文件通常偽裝成與北韓相關的內容，從而增加用戶互動和被處決的可能性。

這種策略利用已建立的信任關係，顯著提高感染成功率，並實現跨社交和職業網絡的有針對性的橫向移動。

這次攻擊活動建立在先前觀察到的活動之上，該活動始於2025年11月，當時同一威脅組織利用KakaoTalk會話分發惡意文件。在那次行動中，攻擊者還利用竊取的Google憑證遠端擦除了受害者的安卓裝置。

即時通訊平台的持續使用凸顯了一種不斷演變的策略，這種策略著重於帳戶劫持和可信賴的溝通管道，而不是傳統的群體傳播技術。

這次行動展現了高度協調的多階段攻擊框架，其影響遠遠超出了初始入侵階段。攻擊者透過結合魚叉式網路釣魚、隱蔽持久化、利用EndRAT進行高級遠端存取以及基於帳戶的傳播等手段，實現了入侵策略的深度和廣度。

有選擇地鎖定目標，並結合精心製作的誘餌內容，凸顯了其深思熟慮且以情報為導向的策略。對 EndRAT 作為核心控制機制的依賴，強化了其作為現代網路間諜活動關鍵工具的地位，使其能夠實現持續存取、資料竊取以及在可信任網路中建立可擴展的感染鏈。

搜索